Rabu, 19 Januari 2011

Komputer "Ngaco?" Jangan-jangan Terinfeksi Stuxnet


JAKARTA, KOMPAS.com - Hampir semua perusahaan antivirus menempatkan Styxnet sebagai ancaman masa depan yang bisa memicu perang dunia maya. Bagaimana tidak, virus tersebut punya kemampuan menyusup ke mesin industri dan berpotensi mengacau fasilitas penting yang dikenadalikan pembuatnya dari jarah jauh. Kasus terakhir adalah serangan Stuxnet ke fasilitas nuklir Iran.
Namun, di samping menembus keamanan platform berbasis SCADA buatan Siemens yang biasa digunakan di mesin-mesin industri, Stuxnet juga dilaporkan menyerang komputer berbasis Windows. Perusahaan solusi keamanan dari Indonesia, Vaksincom, mencatat serangan Stuxnet ke komputer pribadi berbasis Windows Vista dan Windows 7.
Serangan tersebut menyebabkan komputer menjadi tidak berfungsi normal dan yang pasti bakal mengganggu kegiatan penggunanya. Belum lagi, kalau malware (malicious software) atau software berbahaya ini mengacak-acak data atau mencuri informasi penting dari komputer Anda. Nah, sebelum menyesal karena terlambat mengenali infeksi malware ini, ketahui tanda-tandanya.
Gejala & Efek Virus
Beberapa gejala yang terjadi jika komputer Anda sudah terinfeksi Stuxnet yaitu:
1. Install driver baru (replace driver lama) Saat Worm Stuxnet sudah menginfeksi, worm akan mencoba menghapus drive dari Realtek atau Jmicron dan menggantinya dengan driver yang baru versi worm Stuxnet. Stuxnet menginstall driver menggunakan 2 file virus yaitu : MRXCLS.SYS dan MRXNET.SYS.
2. Mematikan aktivitas Print Share Worm menginjeksi file spoolsv, sehingga aktivitas print (cetak data) menjadi terhenti. Komputer yang terinfeksi tidak akan bisa melakukan print. Sebagai ganti dari aktivitas print tersebut worm membuat 2 file yaitu :
- C:-WINDOWS-system32-winsta.exe (file utama worm Stuxnet) - C:-WINDOWS-system32-wbem-mof-sysnullevnt.mof
3. Low Disk Space Akibat dari aktivitas print yang terus dipaksakan, membuat file Winsta akan terus membengkak sehingga membuat space hardisk anda menjadi habis dan tentunya akan mendapat sebuah peringatan Low Disk Space dari sistem Windows.
4. Tidak bisa menyimpan data atau menjalankan program tertentu. Karena file Winsta yang bertambah besar dan membuat space harddisk anda berkurang, menyebabkan anda tidak bisa menyimpan data. Selain itu program/aplikasi pun tidak bisa dijalankan karena membutuhkan cache (ruang penyimpan) yang semuanya dihabiskan oleh file Winsta yang membengkak.
5. Membuat komputer hang/lambat dan bahkan koneksi jaringan menjadi terputus. File sistem Windows yang akan menjadi sasaran injeksi worm Stuxnet yaitu :
- C:-WINDOWS-system32-svchost.exe (file sistem yang berhubungan dengan koneksi jaringan, dengan menginjeksi akan membuat jaringan terputus) - C:-WINDOWS-system32-lsass.exe (file sistem yang berhubungan dengan aktivitas komputer, dengan menginjeksi akan membuat komputer hang/lambat).
6. Melakukan koneksi ke Remote Server Worm Stuxnet melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Remote Server yang digunakan yaitu :
- www.premierfutbol.com - www.todaysfutbol.com
7. Membuat file Scheduled Task Cara yang sama dilakukan oleh Conficker, worm Stuxnet juga membuat file scheduled task agar dapat aktif dan menginfeksi komputer.
File Worm Stuxnet
Saat worm Stuxnet dijalankan, worm akan menginjeksi beberapa file sistem Windows yaitu :
- C:-WINDOWS-system32-lsass.exe
- C:-WINDOWS-system32-svchost.exe
- C:-WINDOWS-system32-spoolsv.exe
Selain itu juga membuat 2 file driver yaitu :
- C:-WINDOWS-system32-driver-mrxcls.sys
- C:-WINDOWS-system32-driver-mrxnet.sys
Dan beberapa file konfigurasi yaitu :
- C:-WINDOWS-inf-oem6c.pnf
- C:-WINDOWS-inf-oem7a.pnf
- C:-WINDOWS-inf-mdmeric3.pnf
- C:-WINDOWS-inf-mdmcpq3.pnf
Serta 2 file yang lain yaitu:
- C:-WINDOWS-system32-KERNEL32.DLL.ASR.xxx atau SHELL32.DLL.ASR.xxx
- C:-addins-DEFRAG[angka_acak].TMP
Selain itu membuat file schedule task yaitu :
- C:-WINDOWS-Tasks-At1.job
Saat menginfeksi file spoolsv.exe, worm membuat 2 file kembali yaitu :
- C:-WINDOWS-system32-winsta.exe (file inilah yang jika aktif akan semakin mengembang / membengkak ukurannya)
- C:-WINDOWS-system32-wbem-mof-sysnullevnt.mof
Selain itu pada removable disk/drive akan membuat beberapa file yaitu :
- Autorun.inf
- Copy of Shortcut.lnk
- Copy of Copy of Shortcut.lnk
- Copy of Copy of Copy of Shortcut.lnk
- Copy of Copy of Copy of Copy of Shortcut.lnk
- ~WTR[angka_acak].tmp
-~WTR[angka_acak].tmp
Modifikasi Registry
Beberapa modifikasi registry yang dilakukan oleh worm Stuxnet antara lain sebagai berikut :
- Menambah Registry
HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-MRxCls HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-MrxNet HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Services-MrxNet HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Services-MRxCls HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Enum-Root-LEGACY_MRX HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Enum-Root-LEGACY_MRXNET HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Enum-Root-LEGACY_MRXCLS HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Enum-Root-LEGACY_MRXNET
Metode Penyebaran
Beberapa cara worm Stuxnet melakukan penyebaran yaitu sebagai berikut :
- Removable drive / disk Metode ini adalah metode yang umum dilakukan oleh para pengguna komputer. Worm (memanfaatkan celah autoplay) membuat beberapa file agar menginfeksi komputer yaitu :
1. Autorun.inf
2. Copy of Shortcut.lnk
3. Copy of Copy of Shortcut.lnk
4. Copy of Copy of Copy of Shortcut.lnk
5. Copy of Copy of Copy of Copy of Shortcut.lnk
6. ~WTR[angka_acak].tmp
7. ~WTR[angka_acak].tmp
Selain itu, dengan memanfaatkan celah keamanan MS10-046 (Windows Icon handler) maka file shortcut/LNK akan langsung dieksekusi pada saat drive tersebut diakses.
- Jaringan Metode ini dengan memanfaatkan celah keamanan dari sistem Windows yaitu :
1. MS08-067 (Windows Server Service), seperti hal-nya Conficker memanfaatkan celah ini dengan melakukan akses C$ dan ADMIN$
2. MS10-061 (Windows Print Spooler), memanfaatkan printer sharing worm menginfeksi pengguna komputer yang mencoba akses ke printer server.
Sumber : Vaksincom

34.000 Komputer di Indonesia Terinfeksi Stuxnet

Senin, 4 Oktober 2010 | 23:07 WIB
KASPERSKY
Daftar komputer yang terserang worm Stuxnet.
JAKARTA, KOMPAS.com - Indonesia tercatat menjadi negara tertinggi kedua yang di dunia yang terinfeksi Stuxnet, malware (malicious software) alias program jahat jenis worm yang tengah merajalela di dunia saat ini. Demikian hasil analisis Kaspersky Lab, pengembang solusi keamanan terkemuka yang berpusat di Rusia.
Stuxnet, sebuah worm komputer Windows spesifik pertama kali ditemukan pada bulan Juni 2010 oleh sebuah perusahaan keamanan yang berasal dari Belarus. Worm ini menjadi terkenal karena merupakan worm pertama yang memata-matai dan memprogram ulang sistem industri. Belakangan ini, serangan worm Stuxnet telah menimbulkan banyak spekulasi dan diskusi mengenai maksud dan tujuan, asal, dan – yang terpenting - identitas dari penyerang dan targetnya.
Kaspersky Lab belum melihat cukup bukti untuk mengidentifikasi penyerang atau targetnya, tetapi Kaspersky dapat mengkonfirmasikan bahwa ini adalah satu-satunya serangan malware canggih yang didukung dengan biaya besar, tim penyerang dengan keahlian tinggi dan pengetahuan teknologi SCADA yang baik.
"Serangan-serangan ini dapat digunakan sebagai alat untuk perang dunia maya atau terorisme dunia maya atau sabotase dunia maya yang bergantung pada sumber serangan dan targetnya. Sejauh ini apa yang telah kita lihat mengenai Stuxnet lebih cenderung digunakan sebagai alat untuk melakukan sabotase. Kaspersky Lab tidak dalam posisi untuk mengomentari sisi politik dari serangan ini," ujar Eugene Kaspersky, Co-founder and Chief Executive Officer of Kaspersky Lab dalam rilis persnya akhir pekan lalu.
Berdasarkan geografis penyebaran Stuxnet; Iran, India dan Indonesia memimpin dalam hal infeksi sejauh ini. Namun, epidemi Stuxnet (seperti epidemi lainnya) tidak statis; worm ini secara terus menerus menyebar, dan sementara beberapa sistem tetap terinfeksi, banyak dari sistem tersebut telah dibersihkan. Negara yang paling rentan serangan ini adalah India dengan jumlah serangan mencapai 86.258 unit komputer. Indonesia di pisisi kedua dengan korban34.138 komputer.
Tujuan utama worm ini adalah untuk mengakses Simatic WinCC SCADA, yang digunakan sebagai sistem pengendali industri dan bertugas untuk mengawasi dan mengendalikan industri, infrastruktur, atau proses-proses berbasis fasilitas. Sistem serupa digunakan secara luas pada pengilangan minyak, pembangkit tenaga listrik, sistem komunikasi yang besar, bandar udara, perkapalan, dan bahkan instalasi militer secara global.
Pengetahuan mendalam tentang teknologi SCADA, kecanggihan serangan yang berlapis-lapis, penggunaan beberapa kerentanan zero-day dan sertifikat yang sah membawa kita kepada pemahaman bahwa Stuxnet diciptakan oleh tim yang terdiri dari para profesional dengan keahlian yang sangat terampil dan memiliki sumber daya dan dukungan finansial yang besar. Target serangan dan wilayah yang dijangkiti oleh worm ini (terutama Iran) menyiratkan bahwa mereka bukanlah kelompok penjahat dunia maya biasa. Lebih jauh lagi, ahli keamanan Kaspersky yang menganalisa kode worm tersebut menegaskan bahwa tujuan utama Stuxnet bukan untuk memata-matai sistem yang terinfeksi tetapi untuk melakukan sabotase.
Para peneliti di Kaspersky Lab menemukan bahwa worm tersebut mengeksploitasi dua dari empat kerentanan zero-day yang telah dilaporkan langsung kepada Microsoft. Analis Kaspersky telah bekerja sama dengan Microsoft untuk memastikan kelancaran dari peluncuranpatch, serta memastikan pelanggan terlindungi dan memperoleh informasi mengenai serangan tersebut. Semua produk Kaspersky Lab telah berhasil mendeteksi dan menetralisir Worm.Win32.Stuxnet.

0 komentar:

Posting Komentar